Samsam Ransomware收获5.9M美元并计数
微软没有响应Surface Pro 4屏幕闪烁
Riverbed Plots将网络从IT封锁到IT推动器
三星准备比Galaxy S8中的芯片更快地制作筹码
苏黎世开始启动竞争,以改善其数字娴熟客户的战略
人工智能造成的失业损失将使维多利亚时代的革命劳累
行业兴奋为茎A级数字上升
戴尔EMC在亚洲的增长
启动索赔3D打印机更快地创建金属部件,更便宜
DCMS推出基金以增加技术的多样性
维基解密:中央情报局使用的碳木菌代码的比特用于恶意软件部署
由于价格挤压,Apple的下一个iPhone可能会在内存上削减角落
这是英特尔最接近的Intel已经建立在一个离散的GPU
IBM和CLS在BlockChain App Store上工作
政府探索区块链,使得购买和销售房地产更容易和更便宜
AMD的新距离基于Polaris的Radeon Pro Duo比其前身慢
Microsoft在Windows 10创建者更新时播放工作
研究人员警告,支撑更多Triton的攻击
Dropbox纸的移动应用程序现在脱机,支持新语言
超过一半的全球劳动力将需要新技能到2022年
这些新的超快速英特尔SSDS提供了一座桥梁到Optane
FTC说,亚马逊向父母退还父母的父母,FTC
Dreamforce 18:贝尼夫要求“包容性资本主义”
在Suing Uber之前,Waymo发起了对前工程师的行动
任天堂停止NES Classic - 这可能是原因
Apache Struts用户敦促由于新的安全缺陷而更新
作为TSB和汇丰客户的数字银行毛刺没有放置在发薪日
工业控制系统专门的网络目标
Mac OS Mojave零天警告
Java和Python FTP攻击可以穿过防火墙打孔
AI Scheduling Startup启动企业订阅
阿里巴巴云和英特尔团队在物联网上
升级到S / 4 HANA的风险
Apple的企业成功:Mac和iOS使用速度快
参议员探测到Cloudpets智能玩具黑客
新的麦斯科斯兰科·勒索在野外发现了
谷歌在用户挤压后拉动虚拟助手广告
农村地区将成为第一个获得沃达丰5G的人之一
英国东南部的NHS组织为HSCN选择了BT
Microsoft发布KB 4015438 Windows 10的紧急修复
阿里巴巴眼睛零售业与新的云产品
Kubernetes现在通常可以在Azure Container Service上提供
丹麦政府雄心勃勃的数据中心推动
谷歌研究如何更快地使互联网变得更快
数据窃取Betabot Malware
UKTECH50 2018 - 帮助我们在英国找到最有影响力的人
石油巨头外壳呼吁搬到清洁能源
Comms提供商可能被迫通知合同的用户
美国与飞机指向鸟类的无人机碰撞探测器
铃声重新开始另一轮:Fred Studer签署了金融法
您的位置:首页 >论坛 > 研究报告 >

Samsam Ransomware收获5.9M美元并计数

2021-08-13 10:44:11 [来源]:

根据安全公司Sophos的一份报告,Samsam Ransomware拥有约59米的成本受害者组织约59米,但只有37%的受害者已经公开了公众。

Samsam的顶级目标 - 也称为萨姆斯 - 包括媒体,在医疗保健,教育和政府的大型公共部门组织以及经营受到重大影响的大型私营部门组织。

Sophos于2015年12月出现后,索菲斯在其出现之后迅速进行了一项长期调查,以便在2015年12月出现后,了解这一“相对独特的”威胁的性质。

到目前为止,大多数袭击已经在美国(74%),其次是英国(8%),加拿大(5%),比利时(6%),澳大利亚(2%)和荷兰,丹麦,爱沙尼亚,阿拉伯联合酋长国和印度,每次1%。

虽然所有已知的政府组织受害者都公布了攻击,但P医疗保健行业的P降至79%,教育部门达到38%。

“我们相信可能有数百人更多的受害者没有公开的声明,但我们不知道他们是谁,”Sophos的研究人员表示,许多受害者发现他们无法充分或快速恢复,以确保他们的业务连续性根据对追踪比特币钱包的赎金支付的分析,他们拥有自己,并且不情愿地支付了64,000美元的奖金。

付款由Bitcoin的受害者通过黑色Web上的自定义“付款网站”,为每个受害者组织具有唯一的地址。研究人员说,付款网站允许Samsam攻击者与受害者直接与受害者进行交互,他们说。

研究人员发现,攻击方法是令人惊讶的手册。因此,如果需要,攻击者可以采用对策,并且令人惊讶地擅长逃避许多安全工具。

如果加密数据的过程中断,则恶意软件会全面删除本身的所有踪迹,以妨碍调查。

研究人员表示,SAMSAM是一个特别彻底的加密工具,不仅渲染数据文件无法使用,还渲染​​运行应用程序所需的配置和数据文件,其中大部分都不是常规备份。

结果,恢复可能需要重新映像和/或重新安装软件,以及还原备份。

研究人员说,攻击者非常擅长覆盖他们的曲目,似乎越来越偏执狂,逐渐增加了更多的安全功能,进入了所用的工具和网站,并非常注意混淆方法并删除任何证据对调查人员来说可能有用。

研究人员表示,每次随后攻击都表明了复杂性的进展情况,并提高了如何逃避运营安全的意识,并提出要求所需的赎金数量也在增加,并且攻击的节奏显示没有减速的迹象。

Sophos调查显示,许多SAMSAM攻击从网络内部的机器的远程桌面妥协开始。还已知攻击者在易受攻击的计算机上部署漏洞以执行远程代码执行。

攻击者在攻击机器上维护存在,同时扫描内部网络,并使用通常用于系统管理或渗透测试的传统开源和商业工具来窃取密码,将ransomware安装程序移动到域管理员计算机,然后将ransomware推向连接的工作站。

与许多赎金软件攻击不同,SAMSAM攻击不源于传统的恶意垃圾邮件或通过下载攻击。研究人员说,每次攻击都是针对性网络的手动闯入。

在收到全额付款后,SAMSAM攻击者将密码发电器移动到一个翻转器和混合器的系统,这些系统通过多个微交易将比特币来源劳动。

Sophos研究人员表示,虽然有“没有银子弹”,但积极和分层的安全模型是最佳实践,并且有几点基本的安全措施可以阻止SAMSAM。因此,建议组织:

限制对远程桌面协议(RDP)使用的端口3389的访问,仅允许使用虚拟专用网络(VPN)的人员能够远程访问任何系统。完整的常规漏洞扫描和整个网络的渗透测试。部署多因素身份验证(MVA)以用于敏感的内部系统。创建脱机和异地的备份,并开发一个涵盖恢复数据和整个系统的灾难恢复计划。执行严格和勤奋的软件安全更新。使用锁定功能和防爆保护实现特定于服务器的安全性。使用凭据盗窃保护实现端点和服务器安全性。改进密码策略以鼓励员工使用安全密码管理器,更长的密码和多个帐户的密码的不使用。使用Censys或Shodan等第三方工具进行定期评估,以识别和关闭组织的公开IP地址空间的公开访问的服务和港口。进行定期网络钓鱼测试和员工教育。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。